RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.

Projekt ustawy o ochronie danych osobowych Ministerstwa Cyfryzacji

o ochronie danych osobowych, rodo

Coraz mniej czasu do wejścia RODO… prace nad ustawą o ochronie danych osobowych trwają.

Państwa Unii Europejskiej muszą sprostać wyzwaniu dostosowania do krajowego porządku prawnego ogólnego rozporządzenia unijnego o ochronie danych osobowych (rozporządzenie 2016/679) zwanego RODO. Na stronie Ministerstwa Cyfryzacji został udostępniony projekt ustawy o ochronie danych osobowych, który ma zapewnić skuteczne stosowanie w polskim porządku prawnym RODO.

W projekcie znajdują się :

  • przepisy ogólne,
  • przepisy regulujące postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,
  • europejską współpracę administracyjną,
  • postępowanie kontrolne,
  • administracyjne kary pieniężne,
  • odpowiedzialność cywilną i kwestie związane z inspektorami ochrony danych.

Projektu ustawy, tak naprawdę jeszcze się będzie zmieniał ze względu na to, że nie wyczerpuje on wszystkich regulacji koniecznych do wprowadzenia do projektowanej ustawy. Sam projekt był przygotowywany po konsultacjach przeprowadzonych ze środowiskiem naukowym oraz z przedstawicielami przedsiębiorców i innymi zainteresowanymi. Ważniejsze jednak wydaję się to, że założeniem projektowanej regulacji jest również zapewnienie obywatelom możliwości skuteczniejszego egzekwowania prawa do ochrony ich danych osobowych między innymi poprzez przyśpieszenie postępowania w sprawach dotyczących ich naruszeń. „Decyzja o udostępnieniu projektu podyktowana została dużym zainteresowaniem społecznym wypracowywanymi zmianami prawnymi i chęcią zapewnienia procesowi tworzenia nowych przepisów pełnej transparentności.” Czyżby Ministerstwo Cyfryzacji czekało na najważniejsze opinie – obywateli, a wśród nich między innymi pracowników, klientów … , których te dane ustawa ma pomagać chronić?

wprowadzenie_do_projektu_ustawy_o_ochronie_danych_osobowych_28_marca_2017

Projekt ustawy o ochronie danych osobowych 2017 marca 28

Czarne listy – w świetle uodo oraz RODO

W mediach można coraz częściej usłyszeć o praktyce części firm rekrutacyjnych polegającej na tworzeniu tzw. „czarnych list”. Czarne listy to zbiory danych zawierające informację o osobach, które z jakiegoś powodu nie „podobają się” firmom rekrutacyjnym. Tego typu działania są niezgodne z ustawą o ochronie danych osobowych i w przyszłości z RODO. Niezgodności tej praktyki z przepisami prawa jest kilka, a do najistotniejszych można zaliczyć:

  1. Osoby, które dane są na takich czarnych listach umieszczone nie są o tym informowane.
  2. Brak podstawy prawnej na tworzenia czarnych list tj. nie są pozyskiwane zgody na przetwarzanie danych osobowych.
  3. Udostępnianie czarnych list innym podmiotom bez pozyskiwania właściwych zgód na przekazywanie danych osobowych.
  4. Niezarejestrowanie zbioru danych w GIODO.

W jaki sposób można trafić na czarną listę?

Jedną z możliwości trafienia na taką listę jest proces weryfikacji kandydata na różnego rodzaju portalach społecznościowych, gdzie zamieszczane są przecież wpisy, zdjęcia oraz można prześledzić z kim dana osoba utrzymuje znajomości. Innym sposobem, aby trafić na taką czarną listę jest rozmowa kwalifikacyjna z rekruterem. W trakcie rozmowy mogą zostać pozyskane informacje, które z jednej strony dyskwalifikują pracownika a z drugiej są pozyskiwane nielegalnie (informację o poglądach, stanie zdrowia czy wyznaniu).

Czarne listy a wymogi wynikające z RODO i nie tylko…

Tworzenie czarnych list narusza w szczególności dwie zasady z RODO tj. zasadę celowości oraz adekwatności. Zasada celowości polega na przetwarzaniu danych osobowych w jasno określonym celu, czyli jeżeli kandydat do pracy wysyła CV aplikując na wybrane stanowisko, to te dane nie mogą być wykorzystane do utworzenia czarnej listy lub baz danych marketingowych (chyba, że administrator uzyska zgodę na tego typu działanie).

Zasada adekwatności, wymusza by podczas zbierania danych osobowych w procesie rekrutacji, pozyskiwać tylko te dane od kandydatów, które są niezbędne do realizacji tego celu (słowo niezbędne nie jest tożsame np. ze słowem przydatne). Dlatego należy zwrócić uwagę na przepisy prawa, które regulują jakie informacje pracodawca ma prawo pozyskiwać od kandydata czy już pracownika (przygotowując jego teczkę osobową).

Dzięki zachowaniu tych dwóch zasad administrator danych zmniejszy ryzyko kontroli GIODO czy Państwowej Inspekcji Pracy (która może mieć podejrzenia o dyskryminowanie kandydatów do pracy podczas rekrutacji, jeżeli pracodawca będzie zadawać niedozwolone pytania, a szczególnie gdy będą one dotyczyły danych wrażliwych jak np. wyznanie).

Żywot czarnych list w przyszłości …

Wejście w życie RODO efektywniej zamknie furtki dla podmiotów, które łamią prawo lub obecnie poruszają się na jego granicy (działając na niekorzyść obywateli) i w odróżnieniu od przepisów obowiązujących obecnie, będzie umożliwiało surowsze karanie za przewinienia czy niedostosowanie się do prawa. RODO, które zacznie obowiązywać w przyszłym roku będzie na pewno efektywniejszym narzędziem dla organów kontrolujących i pilnujących przestrzegania prawa w zakresie ochrony danych osobowych. Aby lista niechcianych pracowników była legalna wymagana jest dobrowolnie wyrażona zgoda na przetwarzanie danych osobowych. Jednocześnie warto pamiętać, że prosząc o wyrażenie takiej zgodę informujemy o tym, że takie listy tworzymy, co może mieć negatywny wpływ na wizerunek firmy jako podmiotu, który dość „agresywnie” podchodzi do standardów przetwarzania danych osobowych.